Forskere med vpnMentor har afsløret et databrud, der involverer COVID-19-testen og sporingsappen oprettet af den indonesiske regering for dem, der rejser ind i landet.
'Test og spor -appen' – kaldet elektronisk Health Alert Card eller eHAC – blev oprettet i 2021 af det indonesiske sundhedsministerium, men vpnMentor -teamet, ledet af Noam Rotem og Ran Locar, sagde, at det ikke havde det korrekte databeskyttelse protokoller og afslørede følsomme data fra mere end en million mennesker gennem en åben server.
Appen blev bygget til at holde testresultaterne for dem, der rejser ind i landet for at sikre, at de ikke havde COVID-19 og er et obligatorisk krav for alle, der flyver til Indonesien fra et andet land. Både udlændinge og indonesiske borgere skal downloade appen, også dem, der rejser indenlands i landet.
EHAC-appen holder styr på en persons sundhedsstatus, personlige oplysninger, kontaktoplysninger, COVID-19-testresultater og andre data.
Kontaktsporingsapps usikre, hvis Bluetooth-sårbarheder ikke løses
Når regeringer i stigende grad ønsker at bruge kontaktsporingsapps til at hjælpe med at indeholde COVID-19, vil sådanne initiativer sandsynligvis udløse fornyet interesse for Bluetooth-angreb, hvilket betyder der er behov for sikkerhed for, at disse apps regelmæssigt testes og sårbarheder lappes.
Læs mere
Rotem og Locar sagde, at deres team opdagede den eksponerede database “som en del af en bredere indsats for at reducere antallet af datalækager fra websteder og apps rundt om i verden.”
“Vores team opdagede eHACs registreringer med nul forhindringer på grund af manglende protokoller på plads af appens udviklere. Når de undersøgte databasen og bekræftede, at registreringerne var autentiske, kontaktede vi det indonesiske sundhedsministerium og præsenterede vores resultater, “sagde vpnMentor -forskerholdet.
“Efter et par dage uden svar fra ministeriet kontaktede vi Indonesiens Computer Emergency Response Team -agentur og til sidst Google – eHACs hostingudbyder. I begyndelsen af august havde vi ikke modtaget et svar fra nogen af de berørte parter. Vi forsøgte at nå ud til yderligere statslige organer, en af dem var BSSN (Badan Siber dan Sandi Negara), der blev oprettet for at udføre aktiviteter inden for cybersikkerhed. Vi kontaktede dem den 22. august, og de svarede samme dag . To dage senere, den 24. august, blev serveren taget ned. ”
Det indonesiske sundheds- og udenrigsministerium reagerede ikke på anmodninger om kommentar fra ZDNet.
I deres rapport forklarer forskerne, at de mennesker, der skabte eHAC, brugte en “usikret Elasticsearch -database til at gemme over 1,4 millioner poster fra cirka 1,3 millioner eHAC -brugere.”
Ud over lækage af følsomme brugerdata fandt forskerne, at hele infrastrukturen omkring eHAC blev afsløret, herunder private oplysninger om lokale indonesiske hospitaler samt embedsmænd, der brugte appen.
De data, der er involveret i lækagen, omfatter bruger-id'er-som varierede fra pas til nationale indonesiske id-numre-samt COVID-19 testresultater og data, hospitals-id'er, adresser, telefonnumre, URN-id nummer og URN -hospitalets id -nummer. For indoneserne var deres fulde navne, numre, fødselsdatoer, statsborgerskab, job og fotos inkluderet i de lækkede data.
ZDNet anbefaler
Den bedste COVID-19-vaccinestyringssoftware
Vaccinestyring er en ny kategori for virksomhedssoftware. Her er et indledende kig på en industri i udvikling.
Læs mere
Forskerne fandt også data fra 226 hospitaler og klinikker i hele Indonesien samt navnet på den person, der er ansvarlig for at teste hver rejsende, de læger, der gennemførte testen, oplysninger om, hvor mange tests der blev foretaget hver dag og data om, hvilken slags rejsende der var tilladt på hospitalet.
Den lækkede database havde endda personlige oplysninger om en rejsendes forældre eller pårørende samt deres hoteloplysninger og andre oplysninger om, hvornår eHAC -kontoen blev oprettet.
Selv eHAC -medarbejdere fik deres navne, id -numre, kontonavne, e -mail -adresser og adgangskoder lækket.
“Havde dataene været opdaget af ondsindede eller kriminelle hackere og tilladt at akkumulere data om flere mennesker, kunne virkningerne have været ødelæggende på et individuelt og samfundsmæssigt plan,” sagde forskerne.
“Den massive mængde data indsamlet og udsat for hver enkelt person, der bruger eHAC, gjorde dem utroligt sårbare over for en lang række angreb og svindel. Med adgang til en persons pasoplysninger, fødselsdato, rejsehistorik og mere kunne hackere målrette dem mod komplekse (og enkle) ordninger til at stjæle deres identitet, spore dem, snyde dem personligt og snyde dem for tusindvis af dollars. Desuden, hvis disse data ikke var tilstrækkelige, kunne hackere bruge dem til at målrette et offer i phishing -kampagner over e -mail, sms eller telefonopkald. ”
Mindre end halvdelen i Singapore er villige til at dele COVID-19-resultater med kontaktsporingsteknik
Kun 41% af singaporianerne er trygge ved at dele et positivt COVID-19-testresultat med kontaktsporingsteknologi, selvom 55%-det højeste blandt seks undersøgte lande-er villige til at gøre det med deres arbejdsgiver eller skole.
Læs mere
vpnMentor-forskerteamet bruger “store webscannere” som en måde at søge efter usikrede datalagre, der indeholder oplysninger, der ikke bør afsløres.
“Vores team kunne få adgang til denne database, fordi den var fuldstændig usikker og ukrypteret. EHAC brugte en Elasticsearch -database, som normalt ikke er designet til URL -brug,” tilføjede forskerne.
“Vi kunne dog til enhver tid få adgang til den via browser og manipulere URL -søgekriterierne til at eksponere skemater fra et enkelt indeks. Hver gang vi finder et databrud, bruger vi ekspertteknikker til at verificere ejeren af databasen, normalt en kommerciel virksomhed. ”
Rapporten bemærker, at med alle dataene ville det være let for hackere at optræde som sundhedsembedsmænd og foretage et hvilket som helst antal svindel mod nogen af de 1,3 millioner mennesker, hvis oplysninger var lækket.
Hackere kunne også have ændret data i eHAC-platformen, hvilket potentielt kunne hæmme landets COVID-19-reaktion.
Forskerne bemærkede, at de var på vagt over for at teste nogen af disse potentielle angreb af frygt for at forstyrre landets bestræbelser på at indeholde COVID-19, som allerede kan blive beskadiget af regeringens tilfældige forvaltning af databasen. < /p>
VpnMentor -teamet tilføjede, at hvis der var et hack- eller ransomware -angreb, der involverede databasen, kunne det have ført til mistillid, misinformation og konspirationsteorier, der har fået fodfæste i snesevis af lande.
“Hvis det indonesiske folk erfarede, at regeringen havde udsat over 1 million mennesker for angreb og bedrageri via en app, der er bygget til at bekæmpe virussen, kan de være tilbageholdende med at engagere sig i en bredere indsats for at indeholde den – herunder vaccine driver, “sagde forskerne.
“Dårlige skuespillere ville utvivlsomt udnytte lækagen for deres gevinst, hoppe på enhver frustration, frygt eller forvirring, skabe mistro og overdrive lækagens indvirkning ud over alle rimelige forhold. Alle disse resultater kunne betydeligt bremse Indonesiens kamp mod Coronavirus (og misinformation i generelt) samtidig med at de blev tvunget til at bruge betydelig tid og ressourcer til at rette deres eget rod. Resultatet er yderligere smerte, lidelse og potentielt tab af menneskeliv i Indonesien. “
Forskerne sagde, at designerne af eHAC -systemet var nødvendige for at sikre serverne, implementere korrekte adgangsregler og sørgede for aldrig at forlade systemet, som ikke krævede godkendelse, åbent for internettet.
De opfordrede dem, der tror, at deres oplysninger var berørt, til at kontakte det indonesiske sundhedsministerium direkte for at finde ud af, hvilke næste skridt der skal tages.
eHAC er langt fra den eneste COVID-19-relaterede app, der står over for lignende problemer. Siden begyndelsen af pandemien har fremkomsten af apps til kontaktsporing forårsaget bekymring blandt forskere, der gentagne gange har vist, hvor defekte disse værktøjer kan være.
Bare i sidste uge stod Microsoft over for betydelige tilbageslag, efter at deres Power Apps viste sig at have afsløret 38 millioner poster online, herunder kontaktsporingsrekorder.
I maj blev de personlige sundhedsoplysninger, der tilhører titusinder af Pennsylvanians, afsløret efter et databrud hos en leverandør af sundhedsministeriet. Sundhedsministeriet anklagede en sælger for at have afsløret dataene fra 72.000 mennesker ved forsætligt at se bort fra sikkerhedsprotokoller.
Sikkerhed
T-Mobile hack: Alt hvad du behøver at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af personlige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Ransomware -truslen vokser: Hvad skal der ske for at stoppe angreb, der bliver værre? (ZDNet YouTube)
Relaterede emner:
Datahåndtering Sikkerhed TV CXO -datacentre